L 143 - 2017-18 - Endeligt svar på spørgsmål 3: Spm. om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltningsmyndighed, til sundhedsministeren

Sundheds- og Ældreudvalget 2017-18
L 143
Offentligt

Holbergsgade 6

DK-1057 København K

T +45 7226 9000

F +45 7226 9001

M [email protected]

W sum.dk

Folketingets Sundheds- og Ældreudvalg

Dato: 03-04-2018

Enhed: SUNDOK

Sagsbeh.: DEPMAHA

Sagsnr.: 1706260

Dok. nr.: 572534

Folketingets Sundheds- og Ældreudvalg har den 1. marts 2018 stillet følgende spørgs-

mål nr. 3 (L 143

–

Forslag til lov om krav til sikkerhed for net- og informationssyste-

mer inden for sundhedssektoren) til sundhedsministeren, som hermed besvares.

Spørgsmålet er stillet efter ønske fra Stine Brix (EL) og Kirsten Normann Andersen

(SF).

Spørgsmål nr. nr. 3:

”Ministeren

bedes oplyse, om Center for Cybersikkerhed i regi af lovforslaget skal for-

stås som en forvaltningsmyndighed, jf. forvaltningsloven. Ministeren bedes i forlæn-

gelse heraf redegøre for kravene til centerets behandling af personoplysninger. Her-

under ønskes oplyst, hvorledes kravene adskiller sig som følge af reglerne i lov om

Center for Cybersikkerhed (lov nr. 713 af 25.juni 2014) i forhold til databeskyttelses-

forordningen (forordning 2016/679/EU af 27. april 2016 om beskyttelse af personop-

lysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv

95/46/EF) og forslaget til databeskyttelseslov (L 68), hvis Forsvarets Efterretningstje-

neste ikke er omfattet af lovforslaget og forordningen.”

Svar:

Da Sundheds- og Ældreudvalgets spørgsmål omhandler, hvorvidt Center for Cybersik-

kerhed er en forvaltningsmyndighed, herunder hvilke krav der gælder for Center for

Cybersikkerheds behandling af personoplysninger, har mit ministerium bedt Forsvars-

ministeriet om bidrag til besvarelsen heraf. Forsvarsministeriet oplyser følgende:

”1.

Det følger af § 8 i lov nr. 713 af 25. juni 2014 om Center for Cybersikkerhed, at

Center for Cybersikkerheds virksomhed er undtaget fra offentlighedsloven (bortset

fra lovens § 13 om notatpligt) og forvaltningslovens kapitel 4-6. Dette gælder også for

centerets kommende funktioner som nationalt centralt kontaktpunkt og CSIRT efter

NIS-direktivet (Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016

om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og infor-

mationssystemer i hele Unionen).

Det fremgår dog af bemærkningerne til forslaget til lov om Center for Cybersikkerhed

(L 192, frem-sat 2. maj 2014), at Center for Cybersikkerhed forudsættes i videst mu-

ligt omfang at efterleve principperne i offentlighedsloven og forvaltningslovens kapi-

tel 4-6. Det forudsættes således, at centeret

–

uanset at dets virksomhed er undtaget

fra forvaltningslovens bestemmelser på området

–

i alle afgørelsessager konkret vur-

derer, om det er muligt at anvende forvaltningslovens principper om partens aktind-

sigt, partshøring og begrundelse m.v. Tilsvarende forudsættes det, at anmodninger

om aktindsigt i videst muligt omfang behandles efter principperne i offentlighedslo-

ven.

L 143 - 2017-18 - Endeligt svar på spørgsmål 3: Spm. om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltningsmyndighed, til sundhedsministeren

Det bemærkes i den forbindelse, at Center for Cybersikkerheds afgørelser i konkrete

sager, f.eks. aktindsigtssager, kan påklages til Forsvarsministeriet.

2. Center for Cybersikkerheds virksomhed, herunder centerets kommende funktioner

efter NIS-direktivet, er endvidere undtaget fra persondataloven. Denne retstilstand

ventes videreført, når persondataloven med virkning fra 25. maj 2018 erstattes af da-

tabeskyttelsesforordningen (Europa-Parlamentets og Rådets forordning (EU)

2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med be-

handling af personoplysninger og om fri udveksling af sådanne oplysninger og om op-

hævelse af direktiv 95/46/EF) og den foreslåede databeskyttelseslov (L 68, fremsat

for Folketinget den 25. oktober 2017).

Størstedelen af de centrale principper i persondataloven gælder dog for centeret, jf.

kapitel 6 i lov om Center for Cybersikkerhed. Det følger således bl.a. af loven, at cen-

teret kun må indsamle personoplysninger til udtrykkeligt angivne og saglige formål,

og at senere behandling ikke må være uforenelig med disse formål. Endvidere må

centeret ikke behandle flere personoplysninger, end hvad der kræves til opfyldelse af

formålet med indsamlingen. Der stilles desuden krav om hjemmel til enhver behand-

ling af personoplysninger, ligesom der som udgangspunkt ikke må behandles person-

oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk

overbevisning og fagforeningsmæssige tilhørsforhold samt personoplysninger om

helbredsmæssige og seksuelle forhold. Centeret skal derudover sikre, at der ikke be-

handles urigtige eller vildledende personoplysninger. Endelig må centeret ikke opbe-

vare indsamlede personoplysninger på en måde, der giver mulighed for at identifi-

cere den pågældende person i et længere tidsrum end nødvendigt, og centeret skal

træffe passende sikkerhedsforanstaltninger ved behandlingen af personoplysninger.

Visse centrale krav efter persondataloven gælder dog ikke for Center for Cybersikker-

hed. Centeret er således undtaget fra kravet om oplysningspligt overfor den registre-

rede samt kravet om den registreredes indsigts- og indsigelsesret.

Herudover er det Tilsynet med Efterretningstjenesterne

–

og ikke Datatilsynet

–

der

fører tilsyn med Center for Cybersikkerheds behandling af personoplysninger. Tilsy-

net med Efterretningstjenesterne er et uafhængigt kontrolorgan, der efter klage eller

af egen drift påser, at Center for Cybersikkerhed overholder reglerne vedrørende be-

handling af personoplysninger.

3. Endvidere følger det af § 8, stk. 2, i lov om Center for Cybersikkerhed, at forsvars-

ministeren kan bestemme, at kapitel 8-10 i persondataloven, kapitel 4-6 i forvalt-

ningsloven samt offentlighedsloven helt eller delvist skal finde anvendelse for Center

for Cybersikkerheds virksomhed som bl.a. myndighed for informationssikkerhed og

beredskab på teleområdet.

Der har indtil videre ikke vist sig behov for at anvende denne bemyndigelse, idet der

behandles ganske få personoplysninger i forbindelse med centerets virksomhed på

teleområdet.

Med lovforslag L 155 om ændring af lov om Center for Cybersikkerhed, der er fremsat

for Folketinget den 28. februar 2018, foreslås det bl.a., at den nævnte bemyndigelse

tilpasses til den kommende regulering på databeskyttelsesområdet og NIS-området,

således at forsvarsministeren vil kunne bestemme, at databeskyttelsesforordningen

og den foreslåede databeskyttelseslov også helt eller delvist skal finde anvendelse for

Side 2

L 143 - 2017-18 - Endeligt svar på spørgsmål 3: Spm. om Center for Cybersikkerhed i regi af lovforslaget skal forstås som en forvaltningsmyndighed, til sundhedsministeren

de myndighedsopgaver, som Center for Cybersikkerhed tillægges som led i imple-

menteringen af NIS-direktivet.

4. Blandt de nye krav, som databeskyttelsesforordningen stiller, kan fremhæves krav

om udpegelse af en databeskyttelsesrådgiver, at der skal gennemføres konsekvens-

analyser, og at nye systemer skal have indbygget databeskyttelse (privacy by design

or by default).

For en nærmere gennemgang af forholdet mellem databeskyttelsesforordningen og

persondataloven henvises i øvrigt til Justitsministeriets betænkning nr. 1565 om data-

beskyttelsesforordningen, del I, bind 1.”

Jeg kan henholde mig til Forsvarsministeriets bidrag.

Med venlig hilsen

Ellen Trane Nørby

Maja Holm Andreasen

Side 3